IPv6 허브 스포크 네트워크 토폴로지

이 문서는 IPv4 허브 및 스포크 네트워크 토폴로지를 IPv6으로 전환하는 방법을 설명합니다. 허브 및 스포크 네트워크 토폴로지를 시작 포인트로 표시하고 IPv6 지원을 구현할 수 있는 단계를 설명합니다.

허브 및 스포크 네트워크 토폴로지에서 허브 가상 네트워크는 스포크 가상 네트워크 연결의 중심 포인트 역할을 합니다. 스포크 가상 네트워크는 허브에 연결되어 애플리케이션 리소스를 격리할 수 있습니다. 자세한 내용은 IPv6로 전환하기를 참조하세요.

아키텍처

이 아키텍처의 Visio 파일을 다운로드합니다.

워크플로

1. 공용 인터넷 및 프레미스 간 네트워크: 사용자 또는 서비스는 공용 인터넷을 통해 Azure 리소스에 액세스할 수 있습니다. 프레미스 간 네트워크에는 VPN Gateway를 통해 Azure 네트워크에 안전하게 연결하는 온-프레미스 가상 머신이 있습니다.

2. Azure Virtual Network Manager: 이 구성 요소는 Azure 내의 전체 네트워크 인프라를 감독하는 관리 계층입니다. 이는 가상 네트워크의 라우팅, 정책 및 전반적인 상태를 처리합니다.

3. 허브 가상 네트워크: 허브는 네트워크 토폴로지의 중심 포인트입니다. 네트워크 구성은 IPv4 및 IPv6 을 모두 지원합니다(이중 스택).

   • Azure Bastion은 TLS(전송 계층 보안)전반에 걸쳐 Azure Portal에서 Virtual Machines로 직접 안전하고 원활한 RDP(원격 데스크톱 프로토콜) 및 SSH(보안 셸) 연결을 제공합니다.
   • Azure Firewall은 허브와 공용 인터넷 간의 트래픽을 검사하고 필터링합니다.
   • ExpressRoute는 프레미스 간 네트워크를 허브에 연결합니다.
   • VPN Gateway는 또한 프레미스 간 네트워크를 허브에 연결하고 중복성을 제공합니다.
   • 허브 가상 네트워크의 서비스는 로그 및 메트릭(진단)을 Azure Monitor로 보내어 모니터링합니다.

4. 스포크 가상 네트워크: 4개의 스포크가 허브에 연결되어 있습니다. 각 스포크는 IPv4 및 IPv6을 모두 지원하는 이중 스택 네트워크입니다.

   • IPv6 UDR(사용자 정의 경로)은 스포크에서 IPv6 트래픽에 대한 사용자 지정 경로를 정의합니다.
   • 스포크 가상 네트워크는 피어링 연결 또는 연결된 그룹을 통해 연결됩니다. 피어링 연결 및 연결된 그룹은 비전이적이며, 가상 네트워크 간의 대기 시간이 짧습니다. 피어링 혹은 연결된 가상 네트워크는 Azure 백본에서 트래픽을 교환할 수 있습니다.
   • 스포크 가상 네트워크의 모든 아웃바운드 트래픽은 Azure Firewall의 구성을 사용한 허브를 통해 흐르며, 이를 강제 터널링이라 칭합니다.
   • 각 스포크 내에는 리소스 서브넷으로 지정된 세 개의 서브넷이 있으며, 각각 가상 머신을 호스팅합니다.
   • 각 가상 머신은 IPv4 및 IPv6 주소 범위를 지원하도록 구성된 내부 Load Balancer에 연결됩니다. Load Balancer는 수신되는 네트워크 트래픽을 가상 머신 전반에 분산합니다.

구성 요소

• Azure Virtual Network는 Azure에서 개인 네트워크의 기본 구성 요소입니다. Virtual Network를 사용하면 Azure Virtual Machines와 같은 다양한 Azure 리소스가 인터넷 및 프레미스 간 네트워크와 서로 안전하게 통신할 수 있습니다.
• 가상 머신 통신에는 가상 네트워크 인터페이스가 필요합니다. 가상 머신 및 기타 리소스를 다중 네트워크 인터페이스로 설정하여 이중 스택(IPv4 및 IPv6) 구성을 만들 수 있습니다.
• 공용 IP 주소는 Azure 리소스에 대한 인바운드 IPv4 및 IPv6 연결에 사용됩니다.
• Virtual Network Manager는 네트워크 그룹 및 해당 연결을 만들고 관리하는데 사용됩니다.
• Azure Firewall은 클라우드 기반 네트워크 보안 서비스입니다. 이는 Azure Virtual Network 리소스를 보호합니다. Azure Firewall 관리형 방화벽 인스턴스는 자체 서브넷에 있습니다.
• Azure VPN Gateway 또는 Azure ExpressRoute를 통해 가상 네트워크를 VPN(가상 사설망) 디바이스 또는 ExpressRoute 회로에 연결하는 가상 네트워크 게이트웨이를 만들 수 있습니다. 게이트웨이는 프레미스 간 네트워크 연결을 제공합니다.
• Azure Load Balancer는 동일한 목적으로 트래픽을 공유하는 여러 컴퓨터를 사용하도록 설정하는 데 사용됩니다. 이 아키텍처에서 Load Balancer는 IPv6을 지원하는 여러 서브넷 간에 트래픽을 분산합니다.
• Azure의 경로 테이블은 네트워크 트래픽의 사용자 지정 경로 정의를 제공하는 UDR 집합입니다.
• Azure Virtual Machines는 IPv6을 지원하는 IaaS(Infrastructure as a Service) 컴퓨팅 솔루션입니다.
• Azure Bastion은 Microsoft가 제공하고 유지 관리하는 완전 관리형 PaaS(platform as a service)입니다. 공용 IP 주소의 노출 없이 가상 머신에 안전하고 원활한 원격 데스크톱 프로토콜 및 SSH 액세스를 제공합니다.
• Monitor는 클라우드 및 온-프레미스 환경에서 모니터링 데이터를 수집 및 분석하여 적절하게 대응하는 포괄적인 모니터링 솔루션입니다. Monitor를 사용하여 애플리케이션 및 서비스의 가용성과 성능을 극대화할 수 있습니다.

허브 가상 네트워크를 IPv6로 전환하기

IPv6을 지원하도록 허브 가상 네트워크를 전환하려면, IPv6 주소 범위를 수용하도록 네트워크 인프라를 업데이트해야 합니다. 따라서 네트워크의 중앙의 제어 부분이 IPv6 트래픽을 처리할 수 있도록 해야 합니다. 이 방법을 사용하면 중앙 허브가 IPv6을 사용하여 다양한 네트워크 세그먼트 (스포크) 간 트래픽을 효율적으로 라우팅하고 관리할 수 있습니다. 허브 가상 네트워크에서 IPv6을 구현하려면 다음 단계를 수행하세요:

Add IPv6 address space to the hub virtual network and the hub subnets 허브 가상 네트워크 및 허브 서브넷에 IPv6 주소 공간을 추가하세요.

먼저 IPv6 주소 범위를 허브 가상 네트워크에 추가한 후 해당 서브넷에 추가해야 합니다. 가상 네트워크에는 /56 주소 블록을 사용하고 각 서브넷에는 /64 주소 블록을 사용하세요. 다음 테이블은 설정 예시를 보여줍니다.

이러한 IPv6 주소는 예시입니다. 조직의 IPv6 주소 블록으로 2001:db8:1234:: 대체해야 합니다. 중복을 방지하고 주소 공간을 효율적으로 사용할 수 있도록 IPv6 주소 할당을 신중하게 계획하고 문서화하세요. 허브 가상 네트워크에 IPv6 주소 공간을 추가하려면, Azure Portal, PowerShell, 또는 Azure CLI를 사용할 수 있습니다.

각 허브 서브넷에 대해 UDR(사용자 정의 경로)을 구성하세요.

UDR은 Azure의 기본 시스템 경로를 재정의하도록 수동 설정한 경로입니다. Azure에서 UDR은 가상 네트워크의 네트워크 트래픽 흐름 제어에 필수적인 요소입니다. UDR을 사용하여 한 서브넷에서 Azure 내의 특정 어플라이언스, 게이트웨이, 대상으로 또는 온-프레미스 네트워크로 트래픽을 보낼 수 있습니다. 허브 가상 네트워크에 IPv6 지원을 추가하려면 다음을 수행하세요:

• IPv6 경로를 추가하세요. 설정된 경로 테이블이 있는 경우, IPv6 주소 접두사를 지정하는 새 경로를 추가하세요.
• 기존 경로를 수정하세요. IPv4에 대한 경로가 이미 있는 경우, IPv6 트래픽에도 적용되도록 수정하거나 별도의 IPv6 관련 경로를 만들어야 할 수 있습니다.
• 경로 테이블을 서브넷과 연결하세요. 경로를 정의한 후, 경로 테이블을 가상 네트워크 내의 관련 서브넷과 연결하세요. 이 연결은 정의한 경로를 사용하는 서브넷을 결정합니다.

모든 리소스에 대한 경로를 추가할 필요는 없으나 각 서브넷에 대한 경로는 추가해야 합니다. 각 서브넷에는 여러 리소스가 있을 수 있으며, 모두 서브넷과 연결된 경로 테이블에 정의된 규칙을 따릅니다. 자세한 내용은 사용자 정의 경로 개요를 참조하세요.

예시 아키텍처의 경우, 허브 가상 네트워크에는 네 개의 서브넷 Azure Bastion, Azure Firewall, VPN Gateway 및 ExpressRoute가 있습니다. 다음 테이블은 각 서브넷에 대한 UDR 예시를 보여줍니다.

UDR을 설정할 때, 조직 네트워크 정책 및 Azure 배포의 아키텍처에 맞게 조정해야 합니다.

ExpressRoute 회로를 수정하세요 (해당하는 경우)

ExpressRoute 회로에 IPv6 지원을 제공하려면, 다음을 수행하세요:

• IPv6 개인 피어링을 사용하도록 설정합니다. ExpressRoute 회로에 IPv6 개인 피어링을 사용하도록 설정합니다. 이 구성을 사용하면 온-프레미스 네트워크와 허브 가상 네트워크 간 IPv6 트래픽을 사용할 수 있습니다.
• IPv6 주소 공간을 할당하세요. 기본 및 보조 ExpressRoute 링크에 IPv6 서브넷을 제공하세요.
• 경로 테이블을 업데이트하세요. ExpressRoute 회로를 통해 IPv6 트래픽을 적절하게 전송해야 합니다.

이러한 구성은 ExpressRoute 회로를 통해 Azure 서비스에 대한 IPv6 연결을 확장하므로 이중 스택 기능을 동시에 라우팅할 수 있습니다. ExpressRoute를 수정하려면, Azure Portal PowerShell 또는 Azure CLI를 사용할 수 있습니다.

스포크 가상 네트워크를 IPv6으로 전환하기

스포크 가상 네트워크가 중앙 허브에 연결됩니다. 스포크 가상 네트워크에 IPv6 지원을 제공하는 경우, 각 스포크 네트워크는 고급 IPv6 프로토콜을 통해 통신할 수 있으며, 네트워크 전반에서 균일성을 확장합니다. 스포크 가상 네트워크에 IPv6 지원을 제공하려면, 다음 단계를 수행하세요:

스포크 가상 네트워크 및 스포크 서브넷에 IPv6 주소 공간을 추가하세요.

허브 가상 네트워크와 마찬가지로, 모든 스포크 가상 네트워크 및 해당 서브넷에 IPv6 주소 범위를 추가해야 합니다. 가상 네트워크에는 /56 주소 블록을 사용하고 서브넷에는 /64 주소 블록을 사용하세요. 다음 표는 스포크 가상 네트워크 및 해당 서브넷에 대한 IPv6 주소 범위의 예시를 보여줍니다.

설정 단계에서 조직의 할당 및 요구 사항에 따라 IPv6 주소를 조정하세요.

스포크 가상 네트워크를 수정하세요.

각 스포크 가상 네트워크에는 여러 가상 머신과 내부 Load Balancer가 포함되어 있습니다. 내부 Load Balancer를 사용하면 IPv4 및 IPv6 트래픽을 가상 머신으로 라우팅할 수 있습니다. IPv6을 지원하려면 가상 머신 및 내부 Load Balancer를 수정해야 합니다.

각 가상 머신에 대해 IPv6 네트워크 인터페이스를 만들고 가상 머신과 연결하여 IPv6 지원을 추가해야 합니다. 자세한 내용은 가상 머신에 IPv6 구성 추가하기를 참조하세요

각 스포크 가상 네트워크에 내부 Load Balancer가 없는 경우, 이중 스택 내부 Load Balancer를 만들어야 합니다. 자세한 내용은 이중 스택 내부 Load Balancer 만들기를 참조하세요. 내부 Load Balancer가 있는 경우, PowerShell 또는 Azure CLI를 사용하여 IPv6 지원을 추가할 수 있습니다.

각 스포크 서브넷에 대해 UDR(사용자 정의 경로)을 구성하세요.

UDR 구성에서 스포크 가상 네트워크는 허브 가상 네트워크와 동일한 구성을 사용합니다. 스포크 가상 네트워크에 IPv6 지원을 추가하려면, 다음을 수행하세요:

• IPv6 경로를 추가하세요. 설정된 경로 테이블이 있는 경우, IPv6 주소 접두사를 지정하는 새 경로를 추가하세요.

• 기존 경로를 수정하세요. IPv4에 대한 경로가 이미 있는 경우, IPv6 트래픽에도 적용되도록 수정하거나 별도의 IPv6 관련 경로를 만들어야 할 수 있습니다.

• 경로 테이블을 서브넷과 연결하세요. 경로를 정의한 후, 경로 테이블을 가상 네트워크 내의 관련 서브넷과 연결하세요. 이 연결은 정의한 경로를 사용하는 서브넷을 결정합니다.

다음 표는 스포크 가상 네트워크의 각 서브넷에 대한 UDR 예시를 보여줍니다.

설정에서 UDR을 조직 네트워크 정책 및 Azure 배포 아키텍처에 맞게 조정해야 합니다.

참가자

Microsoft는 이 문서를 유지 관리합니다. 다음은 최초로 문서를 작성한 기여자입니다.

보안 주체 작성자:

• 베르너 랄 | 시니어 클라우드 솔루션 설계자 엔지니어

기타 기여자:

• 셰리 바빌론 | 시니어 기술 프로그램 매니저
• 던 베다드 | 기술 프로그램 최고 관리자
• 브랜든 스티븐슨 | 시니어 고객 엔지니어

LinkedIn 비공개 프로필을 보려면, LinkedIn에 로그인하세요.

다음 단계

• IPv6 이중 스택 네트워크를 갖춘 가상 머신을 만드세요.
• IP 주소 범위를 관리하세요.
• 클라우드 채택 프레임워크: IP 주소 지정 계획
• Azure Virtual Network용 IPv6
• ExpressRoute를 통해 IPv6 지원을 추가하세요.
• Azure DNS IPv6 지원
• Azure Load Balancer용 IPv6
• Azure Portal을 사용하여 개인 피어링에 대한 IPv6 지원 추가

관련 참고 자료

• IPv6로 전환하기
• 가상 네트워크 피어링 및 VPN 게이트웨이 중에서 선택
• 가상 네트워크에 대한 방화벽 및 Application Gateway
• Azure 가상 네트워크에 AD DS 배포